我们有时候这么比喻这件事情,有点像管家,当你管了所有的系统和数据的时候总要有一本账,这些数据到底在哪里?账目上是不是清楚的?如何从一个库里面去了另外一个?它们应该如何划转?
就像仓库一样,我们知不知道它的库存是什么样?知不知道如何划拨?这些都不知道怎么管好家底。怎么选择安全有效的安全措施保证你的数据是安全的,这是大家在做了很多外围安全之后应该好好想想的问题,到底知不知道自己在保护什么,它们面临什么样的状态?
我们也寻找相关的解决方案,从差不多去年开始,我们做了一套解决方案来解决相关的问题。
第一个是解决数据资产在哪里的问题。不管是数据资产扫描、敏感数据引擎,还是网络流量探针的方式,我们要发现在整个数据中心不同网端和不同区域之间的资产变化,来确定整个资产的变化,同时当有了这个基础的东西之后才能进行管理。
有了这个东西可能还远远不够,我们真正关心的不是全量资产是什么样的,而是中间真正敏感的数据和敏感的字段到底是如何的。所以在这个基础之上,当知道了资产的整体分布情况之后,我们还要发现所有的敏感数据是如何分布的。
我们在这里面有一个隐私管理的平台,可以通过规则或者是人工智能的方式进行敏感数据的识别,从而进行数据的分类和分级,最后进行相关的可视化,可能讲起来会比较抽象,用两张图给大家分享一下具体的展现方式是什么样的。
左图是有关数据资产,当你分析之后,怎么能够盘点好自己的家底到底是什么样的。右图是现在在做的,不同数据库的表到底有多少字段?哪些字段是敏感的?它们之间是什么样的关系?
你会发现这样一层一层拉下去之后会有非常完整的对于资产以及敏感数据分布的概念。其实这个我们也是有很多惨痛经验的,我们分析自己的敏感数据的时候,差不多也花了接近20个人,差不多干了一周才搞明白自己有什么,都在哪里。
有了这一套东西之后,你可以随时随地了解自己的家底是什么、你关心的数据到底在哪里。这个也只是刚刚开始,为什么?
其实这是一个静态的数据,不管是资产,还是数据分布,其实我们可以查很多东西了解这个数据。还有一件事情是动态变化的,就是它们是如何流转的,接口是如何变化的。你的业务是随时随地变化的,安全怎么能够知道业务是如何变化的,而中间的数据是如何流转的。
我们做了这个之后又做了很重要的功能就整个数据追溯的管理,相当于我们怎么能够通过敏感的字段、敏感的应用来进行相关的数据的发掘。首先在中间部分就是不同的应用,下面是不同的DB,在中间有很多灰色是通互相数据传递的管道。
这个管道是如何进行运作的?管道中间的接口是如何变化的?包含敏感数据是怎么通过A的应用一直传到最后一个应用,中间流转的过程是什么样的?其实是需要一套动态的监控能力来保证这套数据传输的过程中对于安全人员是可视或者是可控的。
做完前两个动作之后做的下一个动作就是有关于数据的流转过程的实时发现和监控的内容,来保证在业务变化的过程中发现接口以及敏感数据是如何传递的。
在做完这几个之后还有一个很重要的点,其实大家也都会做,就是有关数据脱敏。在开发测试、数据、分析、培训,甚至其他的场景,数据脱敏都是其中非常重要的环节。
不管替代也好,屏蔽也好,做唯一的数据的替换也好,还是随机数据也好,数据脱敏为日常应用,尤其是大家所在的IT和科技部门在使用的过程中如何保证数据的安全,就提供了一个最后兜底的解决方案。
至少不会有敏感的数据进入到开发测试环境、上线的环境,甚至备份的系统里面去,来保证整个数据能够有效地进行全流程的安全防护。
所有的需求是来自于不同的业务场景,刚才我们谈到了顺丰的不同业务的点,其实这些点是我们选择方案和制定方案过程中最为重要的部分,同时我们在梳理了整个的安全管理的策略,以及在底层进行安全支撑的内容,比如刚才的资产管理、数据管理、追溯管理等功能来支撑中间的部分,就是数据生命周期的管理。
